Entradas

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa | Eurovima Consulting | Agencia de Protección de Datos en Madrid

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa

Viene siendo una actuación que se repite y lo cierto es que aunque se pueda pensar en que no tiene sentido no atender los requerimientos que te hagan para evitar una sanción, sencillos por otra parte, algunos siguen no atendiéndolos y por tanto terminan sancionados.

La denuncia: Instalar una cámara de videovigilancia en la ventana de una vivienda pudiendo captar la vía pública y propiedades de terceros

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa | Eurovima Consulting | Agencia de Protección de Datos en Madrid

Image courtesy of nipitphand at FreeDigitalPhotos.net

Sobre este tema ya hemos hablado en nuestro artículo de julio de 2013: Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€ y nuevamente nos encontramos un caso similar en la que un particular instala una cámara de videovigilancia que según la resolución de la Agencia Española de Protección de Datos (AEPD) se aprecia en las fotografías que acompañan la denuncia, la cámara está instalada en la ventana de la vivienda denunciada y orientada hacia el exterior, pudiendo captar por su altura y ángulo de orientación la vía pública y propiedades de terceros.

La denunciada no formula alegación alguna en el plazo que la AEPD establece y una vez acreditados los hechos, es decir, presunta infracción del artículo 6.1 de la LOPD que establece que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

¿Pero, en qué consiste la figura del apercibimiento?

Recodemos que la figura del apercibimiento (BOE 55, 5-3-2011 Disposición final quincuagésima sexta) supuso una “gran noticia” para los infractores en materia LOPD, ya que aunque incumplan la LOPD pueden evitar ser sancionados, salvo que se trate de una infracción muy grave o si ya hubiesen sido sancionados o apercibidos con anterioridad.

En definitiva, que sólo tienes que acreditar la adopción de las medidas correctoras que la AEPD determine, aunque hayas incumplido la normativa.

¿Qué requisitos debe cumplir un sistema de videovigilancia según establece la LOPD?

  1. Respetar el principio de proporcionalidad.
  2. Si el sistema está conectado a una central de alarma, únicamente podrá ser instalado por una empresa de seguridad privada 
  3. No captar imágenes de las personas que se encuentren fuera del espacio privado (en lugares públicos sólo puede ser realizado por las Fuerzas y Cuerpos de Seguridad del Estado)
  4. Cumplir con el deber de informar a los afectados (Instrucción 1/2006, de la AEPD, sobre el Tratamiento de Datos Personales con Fines de Vigilancia a través de Sistemas de Cámaras o Videocámaras), concretamente:
    • Colocar, en las zonas video vigiladas, al menos un distintivo informativo (cartel de aviso) ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y
    • tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la LOPD

¿Qué señala la AEPD en su resolución?

De manera literal, la sentencia indica que “La denunciada tiene instalado un sistema de videovigilancia con una videocámara orientada hacia el exterior de la vivienda donde está instalada […], no consta que dicha responsable tenga legitimación para el tratamiento de estas imágenes, realizando por tanto un tratamiento de datos personales sin cumplir con la normativa reguladora de protección de datos”.

No obstante la AEPD, que es muy benévola, acuerda apercibir al tener en cuenta que “no consta vinculación de su actividad con la realización de tratamientos de datos de carácter personal, ni que existan beneficios obtenidos como consecuencia de la comisión de la infracción” instándola a que en el plazo de un mes:

  1. Cumpla lo previsto en el artículo 6.1 de la LOPD, es decir, a que justifique la retirada de la cámara, o bien su reubicación o reorientación para que ni se oriente ni capte espacio público.
  2. E informe a la AEPD del cumplimiento del requerimiento, acreditando la adopción de dichas medidas, por medio de fotografías que evidencien la retirada de la cámara o fotografías que muestren lo que capta la cámara una vez se haya reubicado o reorientado.

La denunciada no contestó a las solicitudes y finalmente ha sido sancionada con 1.000€ (enlace a la resolución)

La AEPD envía 2 escritos al domicilio de la denunciada con acuse de recibo, que no son atendidos y finalmente la denunciada ha sido sancionada con una multa de 1.000€ por la infracción del artículo 37.1.f) de la LOPD que señala que “son funciones de la Agencia de Protección de Datos: f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones”.

En definitiva, y como conclusión, repetimos que: si la AEPD te apercibe, atiende su solicitud o prepárate para la multa.

Si tienes una web y vendes online, que sepas que inspecciones «haylas»

Internet Shopping by renjith krishnan in www.freedigitalphotos.net

Internet Shopping by renjith krishnan in www.freedigitalphotos.net

En este 2016, en Andalucía se está realizando por los Servicios de Consumo  una campaña de inspección y control del cumplimiento de los requisitos legales en la información de contratación a distancia a través de páginas web.

Una campaña en definitiva que está dirigida a comprobar, a través del análisis e inspección de las páginas Webs, el grado de cumplimiento de la legalidad vigente en materia de consumo.

Si haces Ecommerce, mejor asegúrate de cumplir con la normativa. Si no cumples, ya sabes donde estamos para ayudarte.

En este enlace puedes obtener más información, y en este otro descargar el formulario con las cuestiones que en la inspección se están revisando

Nota de prensa de la AEPD: “El Reglamento de protección de datos en 12 preguntas»

NEWS5Hoy, 26 de mayo de 2016, la Agencia Española de Protección de Datos (AEPD) ha publicado en su página web un documento en el que de manera simple, siguiendo un formato de pregunta-respuesta, facilita la comprensión del nuevo marco normativo tanto a los ciudadanos, como para ayudar a las organizaciones a adaptarse a los cambios que va a incorporar y cumplir así con sus obligaciones, en el momento en que entre en vigor.

Os emplazamos a consultar la nota en el siguiente enlace y como siempre a vuestra disposición para cualquier duda, consulta o comentario.

Feliz Navidad y feliz Privacidad 2016

Feliz Navidad y Feliz Privacidad 2016

Feliz Navidad y feliz Privacidad 2016No queríamos dejar pasar estas Navidades, sin desearos lo mejor para nuestros lectores, amigos, clientes y colaboradores.

Cerrando el año que hoy termina, podemos deciros que para Eurovima ha sido un buen año gracias a vosotros, a vosotros como clientes ya históricos por seguir a nuestro lado , y a vosotros como nuevos clientes que os habéis sumado a nosotros para poder ofreceros nuestros servicios de la mejor manera posible como siempre intentamos hacerlo. También gracias a nuestros colaboradores de siempre y a las nuevas incorporaciones, con los que hemos tenido la suerte de compartir trabajo a lo largo de todo este año.

Ha sido un año en el que la privacidad, la seguridad y su entorno han vivido momentos convulsos, en el que nuevamente el terrorismo nos azotó y ha vuelto a resonar con fuerza el dilema interminable entre privacidad vs seguridad.

Un año en el que la actividad online ha seguido creciendo de manera imparable y lamentablemente con ella también la inseguridad, sobre todo la de nuestros menores.

En lo normativo, hemos visto un acelerón a final de año entrando en el proceso final para tener en la Unión Europea un nuevo marco regulatorio en materia de protección de datos de carácter personal con la aprobación del nuevo Reglamento de Protección de Datos de la Unión Europea previsto para los próximos meses.

En definitiva, que dejamos otro año atrás, y vamos a por el quinto, que dicen «no lo hay malo» y esperamos que así sea.
Desde EUROVIMA, queremos haceros llegar nuestros mejores deseos y el agradecimiento por seguir al otro lado, sea el medio en el que sea que nos encontremos y compartamos vivencias.

Contamos con vosotr@s!!!!.

Un fuerte abrazo.

El equipo de Eurovima

¿Hacemos copias de seguridad por sentido común o por cumplir con la LOPD? | Eurovima Consulting | Asesoría LOPD Madrid |Adecuación de tu proyecto web a la LOPD

¿Hacemos copias de seguridad por sentido común o por cumplir con la LOPD?

¿Hacemos copias de seguridad por sentido común o por cumplir con la LOPD? | Eurovima Consulting | Asesoría LOPD Madrid |Adecuación de tu proyecto web a la LOPDSiempre que tenemos una charla sobre el objeto y alcance de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) y su cumplimiento normativo, decimos que la mayoría de las cuestiones técnicas y organizativas que la ley nos obliga a acometer, se vienen realizando por inercia del negocio, así del mismo modo que hacemos con nuestra información personal, con más razón lo haremos para preservar nuestra actividad o negocio.

Posteriormente cuando hacemos un proyecto de adecuación, constatamos que este tipo de cuestiones se vienen realizando en el ámbito del negocio o actividad simplemente por esa inercia mencionada y por la aplicación del sentido común.

Claro que no es necesario que una ley me diga que debo realizar una copia de mi información o que habilite un mecanismo por el cual únicamente las personas que yo o la dirección considera que accedan a determinada información de la empresa, pero sí nos damos cuenta de que algunas de estas cuestiones técnicas u organizativas que obliga la LOPD no se ajustan a lo que establece la normativa y debemos adecuarlas.

Definición de Copia de Seguridad según la LOPD

El artículo 94 del Real Decreto 1720/2007, de 21 de diciembre, de desarrollo de la LOPD, señala que para cualquier fichero:

  1. Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.
  2. Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Además, el artículo 102, señala que los ficheros con información de datos personales de nivel alto, deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.”

Motivos por los que realizar una Copia de Seguridad

Simplemente con recordar lo sucedido en Madrid con el incendio del edificio Windsor, bastará para darnos cuenta del sentido que tiene contar con un plan de continuidad que nos permita reemprender con menos dificultades nuestro negocio.

En este sentido, las medidas que la LOPD nos obliga a implementar nos van a ayudar sin duda alguna, pero al margen de lo que diga la LOPD, tenemos muchos motivos tales como:

  • Por si te roban o se estropea tu PC o el servidor
  • Se inunda o incendia tu local
  • Para preservar tu información comercial y de negocio
  • Para reutilizar documentos de trabajo o plantillas

No seas simple, haz cuando menos una copia adicional y mantenla a buen recaudo

Aunque solo sea aplicable a la información de nivel alto, siempre aconsejamos mantener una copia de seguridad adicional fuera de las instalaciones principales en donde se almacene, con el fin de preservar la información de negocio de las mismas contingencias que pudiera sufrir el lugar habitual de almacenamiento, ya que en el caso de un accidente o desastre, dicha copia también podría quedar inservible.

Un ejemplo claro de esto es si pensamos en un incendio, robo o inundación de nuestras oficinas, ya que si no tenemos una copia adicional externa, difícilmente podríamos trabajar al día siguiente con cierta normalidad, ¿no os parece?

Si no fuese posible, cosa que dudamos, guardar una copia de los ficheros en un lugar distinto, habrá que adoptar medidas complementarias para disminuir el riesgo, tales como ubicar la copia en armarios ignífugos, implantación de sistemas antiincendios, etc. y si tu sede tiene más de una estancia el sentido común te dirá qué se guarda en la misma.

Hoy en día el coste no puede ser una excusa ya que el adquirir un disco duro externo de gran capacidad, o la posibilidad de realizar las copias en la nube, aunque en ese caso debemos tener presente otras cuestiones ( “Nube” o Cloud Computing. Seamos diligentes…) no suponen una gran cuantía.

¿Y si falla la copia de seguridad?

Pues en ese caso recurriremos a la copia adicional y en todo caso debemos verificar cada cierto tiempo que la restauración de datos cumple su función, cuestión que el RDLOPD establece y de la que os hablaremos en nuestro siguiente artículo.

Por una privacidad de una sola “velocidad”, por un marco normativo europeo común | Eurovima Consulting S.L.

Por una privacidad de una sola “velocidad”, por un marco normativo europeo común

Por una privacidad de una sola “velocidad”, por un marco normativo europeo común | Eurovima Consulting S.L.El pasado 28 de enero, con motivo del Día Europeo de Protección de Datos, en el blog de la Asociación Profesional Española de Privacidad (APEP) han publicado un artículo escrito por nuestro CEO, Rafael Varela del que os dejamos una reseña y os invitamos a leer completo en este enlace

Hoy 28 de enero de 2015 estamos celebrando el día de la Protección de Datos en Europa por 9º año consecutivo.

Se trata de una jornada festiva, que impulsada desde la Unión Europea por las autoridades de Protección de Datos de los estados miembros, pretende promover el conocimiento entre los ciudadanos europeos sobre cuáles son sus derechos y responsabilidades en el ámbito de protección de datos y por ende de la privacidad.

Seguramente muchos de nuestros amigos lectores, tendrán cierta información sobre los aspectos que enmarcan su privacidad, pero sobre todo de lo que les gusta y les disgusta de manera especial cuando alguien sobrepasa ciertos límites que atentan contra su persona o entorno. Todos tenemos medianamente claro cuando algo o alguien pretende menoscabar nuestros derechos en materia de protección de datos personales, pero no tanto cuando salimos de nuestro ámbito, canal o esfera cotidiano, y me explico.

Los tiempos están cambiando, siguen cambiando, pero las leyes no lo hacen al mismo ritmo. []

El Derecho al Olvido; del “Olvídense del olvido” al “olvídense de lo dicho”, o no…

Free-Google-Desktop-Wallpapers-1Parece que nuestra querida Agencia Española de Protección de Datos (AEPD) ha logrado dar la vuelta al resultado contra todo pronóstico (el nuestro desde luego), y lo que el 25 de julio de 2013, con “el Dictamen Preliminar del Abogado General del TJUE”, hacía suponer que Google no estaría obligado a borrar la información sensible de su índice de búsqueda, ahora con la sentencia publicada hoy, ¡¡¡martes y 13!!!, ya no lo parece (ver post del 26 de junio de 2013)

En todo caso, decimos parece, pues pensamos que estamos ante lo que será un punto y seguido, del que queremos haceros llegar un primer análisis.

La cuestión era si con el amparo de la AEPD, no solo el ciudadano español del que partió la denuncia sino todos, encontraríamos el auxilio para lograr el derecho al olvido. De cómo el derecho a la protección de nuestra privacidad iba a convivir con la libertad de expresión e información sin suponer una censura al contenido indexado o la responsabilidad  de las fuentes del origen de la información y de los buscadores. También si la normativa europea sería o no de aplicación a una empresa con sede en California, que por ende fuese considerada Responsable de Tratamiento, y en definitiva, resolver si existía tratamiento de datos o no.

Pues bien, estamos ante una sentencia histórica que obliga al buscador a eliminar los enlaces de sus resultados de búsqueda si se dan una serie de requisitos (cuando sea solicitado por el afectado) aunque la información no sean de “su propiedad”, ya que el buscador realiza un tratamiento de datos de dicha información y por tanto la sentencia considera que el buscador es el Responsable.

ANTECEDENTES:

Para ponernos en situación, recordar que un ciudadano español solicitó y recibió el amparo de la AEPD requiriendo a Google que eliminasen sus datos del buscador.

Pues bien, ya en su día indicamos que la cuestión clave sería delimitar el alcance de la responsabilidad de Google frente a los derechos de los ciudadanos sobre la publicación/indexación de sus datos personales y si pudiese estar sujeto a la normativa de privacidad europea aunque su motor de búsqueda fuese el de una empresa con sede en California.

Las conclusiones resumidas del Dictamen Preliminar del Abogado General del TJUE, que ya publicamos en su momento, fueron:

  1. El ámbito territorial de aplicación.- Concluyó que se considera de manera indiscutible a las filiales de Google ubicadas en la UE como “establecimiento”.
  2. No entiende que el buscador sea Responsable del Tratamiento pero sí que sus operaciones implican claramente un tratamiento de datos personales.
  3. La Directiva no establece ningún «derecho al olvido» generalizado. Los derechos de oposición, supresión y cancelación de datos, de la Directiva no se extienden a un derecho al olvido como el descrito en el auto de remisión.

LAS CONCLUSIONES DE LA SENTENCIA

La sentencia del Tribunal de Justicia de la Unión Europea conocida hoy, supone:

  1. Que a Google le es aplicable la normativa Europea sobre protección de datos, al vender y promocionar espacios publicitarios a los ciudadanos de un estado miembro de la UE. A este respecto, la sentencia indica: “….Pues bien, toda vez que dicha presentación de resultados está acompañada, en la misma página, de la presentación de publicidad vinculada a los términos de búsqueda, es obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro, en el caso de autos el territorio español”… “basta por sí mismo para concluir que un establecimiento como Google Spain cumple el criterio recogido en el artículo 4, apartado 1, letra a), de la Directiva 95/46….”
  2. Responsable del Tratamiento.- Su motor de búsqueda determina los fines y los medios del tratamiento de datos personales, por tanto esa actividad que desarrolla constituye un tratamiento de datos de los que es Responsable. A este respecto, la sentencia indica: “en base al artículo 2-d de la directiva 95/46, hay que considerar que la actividad del buscador al rastrear páginas web supone un tratamiento de datos de carácter personal ya que “determina los fines y los medios del tratamiento de datos personales”….. “
  3. Derecho al olvido.- Que asiste al interesado a solicitar que se eliminen sus datos y referencias del motor de búsqueda, sin necesidad de que hayan sido eliminadas previamente por el editor. Todo ello salvo en caso de relevancia o interés público. A este respecto, la sentencia indica: “incluso un tratamiento inicialmente lícito de datos exactos puede devenir, con el tiempo, incompatible con dicha Directiva cuando estos datos ya no sean necesarios en relación con los fines para los que se recogieron o trataron. Éste es el caso, en particular, cuando son inadecuados, no pertinentes o ya no pertinentes o son excesivos en relación con estos fines y el tiempo transcurrido”….. “en el supuesto en el que se aprecie, tras una solicitud del interesado….”…… “que esta información…….es inadecuada, no es pertinente, o ya no lo es, o es excesiva en relación con los fines del tratamiento en cuestión realizado por el motor de búsqueda, la información y los vínculos de dicha lista de que se trate deben eliminarse”.

En definitiva, sentencia histórica, de la que esperamos pacientemente su aplicación y de los más de 220 recursos de Google contra resoluciones de la AEPD pendientes.

Sentencia que abre nuevos interrogantes como:

  • Qué pasará con las Redes Sociales, ya que les será de aplicación al igual que cualquier operador extranjero con filial en España.
  • Qué sucede respecto a otros derechos fundamentales, con la libertad de expresión….
  • Cómo afectará al esperado y ansiado Reglamento Europeo de protección de Datos.
  • Cómo se realizará la revisión de las peticiones….